JP2017037606A - 駆動制御システムおよび異常監視装置 - Google Patents

駆動制御システムおよび異常監視装置 Download PDF

Info

Publication number
JP2017037606A
JP2017037606A JP2015160224A JP2015160224A JP2017037606A JP 2017037606 A JP2017037606 A JP 2017037606A JP 2015160224 A JP2015160224 A JP 2015160224A JP 2015160224 A JP2015160224 A JP 2015160224A JP 2017037606 A JP2017037606 A JP 2017037606A
Authority
JP
Japan
Prior art keywords
control
abnormality
processing
program
abnormality monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2015160224A
Other languages
English (en)
Inventor
大室 善則
Yoshinori Omuro
善則 大室
修 武井
Osamu Takei
修 武井
松本 栄治
Eiji Matsumoto
栄治 松本
田島 宏一
Koichi Tajima
宏一 田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2015160224A priority Critical patent/JP2017037606A/ja
Publication of JP2017037606A publication Critical patent/JP2017037606A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】 複数種類の制御プログラムを実行して制御対象装置の制御を行う制御装置の動作異常を効果的に検出する。
【解決手段】 制御装置20の制御プログラムAおよびBの各々の処理を開始するとき処理開始信号AON(BON)を送信し、処理を終了するとき処理終了信号AOFF(BOFF)を送信する。異常監視装置30のCPU3011は、制御プログラムAおよびBの各々について、処理開始信号AON(BON)が受信されてから処理終了信号AOFF(BOFF)が受信されるまでの処理時間を計時し、各制御プログラムの処理時間と許容範囲との比較により、制御装置20の動作の異常を検出する。そして、制御装置20の動作の異常を検出した場合、異常通知信号を制御装置20に送信する。
【選択図】図1

Description

この発明は、制御装置の異常動作を監視する異常監視装置およびこの異常監視装置を備えた駆動制御システムに関する。
制御装置が生成する制御信号によりアクチュエータ等の制御対象装置の駆動制御を行う駆動制御システムでは、制御装置の異常への対策が強く求められている。そこで、制御装置を監視し、制御装置の異常を検知する技術が種々開発されている。
例えば、特許文献1には、制御装置の状態遷移を監視することにより、制御装置の動作の異常を検出する技術が開示されている。図13は、この特許文献1の技術を適用した駆動制御システム4の構成を例示するブロック図である。この駆動制御システム4は、指令入力装置11、制御装置21、異常監視装置31および制御対象装置41を有する。制御装置21は、指令入力装置11から入力された指令に応じて制御信号を生成する。そして、制御装置21は、この制御信号により例えばアクチュエータ等の制御対象装置41を制御する。また、異常監視装置31は、制御装置21から自装置の状態遷移を示す信号を受信し、制御装置21の状態遷移を監視する。この監視の結果、制御装置21の状態遷移の異常を検知した場合、異常監視装置31は、異常通知信号を制御装置21に供給し、制御対象装置41に対する制御信号の供給を停止させる。
特許第4496205号公報
ところで、図13に示す駆動制御システム4では、制御装置21が制御対象装置41に異常な制御信号を供給するにも関わらず、異常監視装置31がその異常動作を検知できない場合がある。図14は制御装置21の正常動作の例を示すタイムチャートであり、図15は制御装置21の異常動作の例を示すタイムチャートである。
図14に示す動作例において、制御装置21は、周期Tで発生する割込要求信号IRQAに応じて制御プログラムA0を実行し、周期Tで発生する割込要求信号IRQBに応じて制御プログラムB0を実行する。そして、制御装置21は、制御プログラムA0の実行により生成した制御信号を制御対象装置41に供給するとともに、制御プログラムB0の実行により生成した制御信号を制御対象装置41に供給する。
図15に示す動作例でも、制御装置21は、周期Tで発生する割込要求信号IRQAに応じて制御プログラムA0を実行し、周期Tで発生する割込要求信号IRQBに応じて制御プログラムB0を実行する。しかし、この動作例では、制御プログラムA0の実行と制御プログラムB0の実行との競合が発生している。具体的には、制御装置21が時刻tにおいて実行を開始した制御プログラムA0が、本来の終了予定時刻である時刻tにおいて終了せずに、処理時間が長くなり時刻tにおいて終了する。このような処理時間の長期化が発生する原因として、例えば制御プログラムA0への入力信号の増加に伴う演算量の増加があり得る。また、制御装置21のCPUに与えられるクロックに抜けが生じ、制御プログラムA0の実行に必要な個数のクロックがCPUに与えられるのに要する時間が長期化する、といった原因もあり得る。
そして、図15に示す動作例では、制御装置21が制御プログラムA0を実行している時刻tと時刻tの間の時間内の時刻tに割込要求信号IRQBが発生している。しかし、この動作例では、制御プログラムA0は制御プログラムB0よりも優先度が高い。そのため、制御装置21は、時刻tにおいて制御プログラムB0の実行を開始せず、制御プログラムA0を続行する。さらに、この動作例では、時刻tの後の時刻tにおいて割込要求信号IRQBが発生するが、この時点においても制御装置21は制御プログラムA0を続行する。そして、時刻tの後の時刻tにおいて制御プログラムA0の実行が終了する。そこで、制御装置21は、この時刻tにおいて制御プログラムB0の実行を開始する。
以上のように、図15に示す動作例では、時刻tにおいて実行されるべきである制御プログラムB0が実行されない。以下では、便宜上、この現象を割込抜けと呼ぶ。このような割込抜けが発生すると、制御プログラムB0の実行により制御対象装置41に供給されるべきであった制御信号が制御対象装置41に供給されない。また、制御プログラムB0が例えば制御対象装置41の状態を示す信号等の外部からの入力信号を取り込んで処理するプログラムである場合、割込抜けが発生すると、入力信号の取り込みを割込抜けの回数だけ仕損じることになり、これに起因して不適切な制御信号を制御対象装置41に供給する可能性がある。従って、制御対象装置41の動作に異常が発生する可能性がある。しかしながら、このように割込抜けが発生して制御装置21から制御対象装置41に供給される制御信号に異常が生じる状況であっても、制御装置21の状態遷移が正常である限り、異常監視装置31は、異常通知信号を制御装置21に対して出力しない。このように従来の異常監視装置31は、制御装置21による制御対象装置41の制御に異常が発生する可能性があっても、そのような異常発生の可能性を検知することができない問題があった。
プログラムの処理時間の長期化を検出するための手段としてウォッチドッグタイマを使用する技術がある。この技術において、CPUは、一定時間以上の間隔を空けないでウォッチドッグタイマをリセットする。ウォッチドッグタイマは、リセットされる都度、タイマ値を初期化して計時を繰り返すが、一定時間以上リセットされないと、タイムアウトとなり、CPUをリセットする。この技術によれば、CPUが暴走して長期間に亙ってウォッチドッグタイマをリセットしないと、ウォッチドッグタイマは、タイムアウトとなり、CPUをリセットする。従って、例えば無限ループへの侵入等のCPUの暴走を食い止めることができる。
従来技術の問題を解決するために、このウォッチドッグタイマの技術を適用することも考えられる。上記ウォッチドッグタイマの技術を上記駆動制御システムに適用するとなると、制御装置21が制御プログラムA0およびB0のいずれをも実行していない期間を利用して実行するアイドル処理プログラムの中でウォッチドッグタイマのリセットを行うことになる。しかし、このようにウォッチドッグタイマの技術を上記駆動制御システムに適用したとしても、割込抜けを検知することはできず、上記問題を解決することはできない。
この発明は、以上説明した事情に鑑みてなされたものであり、複数種類の制御プログラムを実行して制御対象装置の制御を行う制御装置の動作異常を効果的に検出する手段を提供することを目的としている。
この発明は、複数種類の周期的な割込要求信号に応じて制御対象装置を駆動制御するための複数種類の制御プログラムを各々実行し、前記割込要求信号に応じて前記制御プログラムを実行する都度、当該制御プログラムを特定する実行状況信号を出力する制御装置と、前記実行状況信号に基づいて、前記制御装置の動作の異常を検出する異常監視装置とを具備することを特徴とする駆動制御システムを提供する。
この発明によれば、異常監視装置は、複数種類の制御プログラムの各々についての実行状況を監視することができるので、制御装置の動作の異常を適切に検出することができる。
この発明の第1実施形態による駆動制御システム1の構成を示すブロック図である。 同駆動制御システム1の制御装置20のCPU2011が実行する制御プログラムA1およびB1の処理内容を示すフローチャートである。 同駆動制御システム1の異常監視装置30のCPU3011が実行する計時処理プログラムの処理内容を示すフローチャートである。 同CPU3011が実行する受信処理プログラムの処理内容を示すフローチャートである。 同実施形態における処理時間の許容範囲を例示する図である。 同実施形態の動作例を示すタイムチャートである。 この発明の第2実施形態において制御装置20のCPU2011が実行する制御プログラムA2の処理内容を示すフローチャートである。 同実施形態において異常監視装置30のCPU3011が実行する計時処理プログラムの処理内容を示すフローチャートである。 同CPU3011が実行する受信処理プログラムの処理内容を示すフローチャートである。 同実施形態における処理時間の許容範囲を例示する図である。 同実施形態の動作例を示すタイムチャートである。 この発明の第3実施形態による駆動制御システムの構成を示すブロック図である。 従来の駆動制御システム4の構成を示すブロック図である。 同駆動制御システム4の制御装置21の正常動作の例を示すタイムチャートである。 同駆動制御システム4の制御装置21の異常動作の例を示すタイムチャートである。
以下、図面を参照しつつ、この発明の各実施形態について説明する。
<第1実施形態>
図1は、この発明の第1実施形態による駆動制御システム1の構成を示すブロック図である。駆動制御システム1は、指令入力装置10、制御装置20、異常監視装置30および制御対象装置40を有する。
制御装置20は、制御部201およびタイミング生成部202を有する。タイミング生成部202は、所定周波数の基本クロックφ0、この基本クロックφ0を分周した周期Tの割込要求信号IRQAおよび周期T(≠T)の割込要求信号IRQBを生成し、制御部201に供給する。
制御部201は、CPU2011、RAM2012およびROM2013を有する。ROM2013には制御対象装置40を制御するための制御プログラムA1およびB1が格納されている。RAM2012は、制御プログラムA1およびB1を実行する際のワークエリアとしてCPU2011によって利用される。
CPU2011は、タイミング生成部202が生成する割込要求信号IRQAに応じて制御プログラムA1を実行し、割込要求信号IRQBに応じて制御プログラムB1を実行し、基本クロックφ0に基づいて各プログラムを構成する個々の命令を実行する。ここで、CPU2011は、割込要求信号IRQAおよびIRQBが競合する場合、割込要求信号IRQAに応じた制御プログラムA1の実行終了を待って、割込要求信号IRQBに応じた制御プログラムB1の実行を開始する。そして、CPU2011は、制御プログラムA1およびB1を実行することにより指令入力装置10が出力する指令に基づいて制御信号を生成し、制御対象装置40に供給する。
図2(a)は本実施形態における制御プログラムA1の処理内容を示すフローチャート、図2(b)は本実施形態における制御プログラムB1の処理内容を示すフローチャートである。CPU2011は、割込要求信号IRQAに応じて制御プログラムA1の実行を開始すると、制御プログラムA1の処理開始タイミングを示す処理開始信号AONを異常監視装置30に送信する(ステップS101)。次にCPU2011は、制御プログラムA1の本来の制御処理(制御対象装置40の制御)を実行する(ステップS102)。そして、CPU2011は、この制御処理が終了すると、制御プログラムA1の処理終了タイミングを示す処理終了信号AOFFを異常監視装置30に送信し(ステップS103)、制御プログラムA1を終了する。
同様にCPU2011は、割込要求信号IRQBに応じて制御プログラムB1の実行を開始すると、制御プログラムB1の処理開始タイミングを示す処理開始信号BONを異常監視装置30に送信する(ステップS111)。次にCPU2011は、制御プログラムB1の本来の制御処理(制御対象装置40の制御)を実行する(ステップS112)。そして、CPU2011は、この制御処理が終了すると、制御プログラムB1の処理終了タイミングを示す処理終了信号BOFFを異常監視装置30に送信し(ステップS113)、制御プログラムB1を終了する。
本実施形態において、処理開始信号AONおよびBONと、処理終了信号AOFFおよびBOFFとを区別する必要がない場合には、これらを実行状況信号と総称する。
異常監視装置30は、制御装置20が送信する実行状況信号に基づいて、制御装置20の動作の異常を検出し、異常通知信号を制御装置20に送信する装置である。制御装置20のCPU2011は、異常監視装置30から異常通知信号を受信すると、制御対象装置40を安全に停止させるための制御を行って制御対象装置40に対する制御信号の供給を停止する。
図1に示すように、異常監視装置30は、監視部301およびタイミング生成部302を有する。タイミング生成部302は、所定周波数の基本クロックφ1とこの基本クロックφ1を分周した所定周波数の計時用クロックφ2を生成し、監視部301に供給する。なお、タイミング生成部202および302が各々生成する基本クロックφ0およびφ1は非同期である。
監視部301は、CPU3011、RAM3012およびROM3013を有する。ROM3013には異常監視プログラム3013Dが格納されている。この異常監視プログラム3013Dは、計時処理プログラム3013Daと受信処理プログラム3013Dbとを含む。RAM3012は、ワークエリアとしてCPU3011によって利用される。
CPU3011は、タイミング生成部302が生成する基本クロックφ1に基づいてプログラムを構成する各命令を実行する。また、CPU3011は、タイミング生成部302から計時用クロックφ2が与えられるのに応じて、割込処理として計時処理プログラム3013Daを実行する。また、CPU3011は、制御装置20から実行状況信号が受信されるのに応じて、割込処理として受信処理プログラム3013Dbを実行する。
ここで、計時処理プログラム3013Daは、処理開始信号AONの受信タイミングから処理終了信号AOFFの受信タイミングまでの経過時間、すなわち、制御プログラムA1の処理時間の計時を行うとともに、処理開始信号BONの受信タイミングから処理終了信号BOFFの受信タイミングまでの経過時間、すなわち、制御プログラムB1の処理時間の計時を行うプログラムである。
また、受信処理プログラム3013Dbは、制御装置20から受信される実行状況信号に基づいて計時処理プログラム3013Daの計時開始、計時終了の制御を行うとともに、計時結果に基づいて制御装置20が異常動作しているか否かを判定するプログラムである。
図3は計時処理プログラム3013Daの処理内容を示すフローチャートである。また、図4は受信処理プログラム3013Dbの処理内容を示すフローチャートである。以下、これらの図を参照し、本実施形態の動作を説明する。
異常監視装置30のCPU3011は、タイミング生成部302が計時用クロックφ2を出力する都度、図3に示す計時処理プログラム3013Daを実行する。まず、CPU3011は、制御プログラムA1用の計時指示フラグFCAが“1”であるか否か、すなわち、制御プログラムA1についての処理時間の計時が指示されているか否かを判断する(ステップS201)。この判断結果が「YES」である場合、CPU3011は、制御プログラムA1の処理開始からの経過時間を示す計時値TCAを計時用クロックφ2の周期に相当する時間ΔTだけ増加させ(ステップS202)、ステップS203へ進む。一方、ステップS201の判断結果が「NO」である場合、CPU3011は、ステップS202を実行することなくステップS203に進む。
次にステップS203に進むと、CPU3011は、制御プログラムB1用の計時指示フラグFCBが“1”であるか否か、すなわち、制御プログラムB1についての処理時間の計時が指示されているか否かを判断する。この判断結果が「YES」である場合、CPU3011は、制御プログラムB1の処理開始からの経過時間を示す計時値TCBを時間ΔTだけ増加させ(ステップS204)、ステップS205へ進む。一方、ステップS203の判断結果が「NO」である場合、CPU3011は、ステップS204を実行することなくステップS205に進む。
次にステップS205に進むと、CPU3011は、計時値TCAおよびTCBの少なくとも一方が所定の上限値を越えたか否かを判断する。この判断結果が「YES」である場合、CPU3011は、制御装置20に異常通知信号を送信し(ステップS206)、計時処理プログラム3013Daを終了する。これに対し、ステップS205の判断結果が「NO」である場合、CPU3011は、ステップS206を実行することなく、計時処理プログラム3013Daを終了する。
以上が計時処理プログラム3013Daの処理内容である。
なお、以上説明した計時処理プログラム3013Daにおいて、ステップS205およびS206の処理は、制御装置20のCPU2011が制御プログラムA1またはB1を実行している際に無限ループに陥り、その処理時間が著しく長期化した場合にCPU2011を停止させるために設けられている(すなわち、ウォッチドッグタイマとしての機能の実現)。
一方、異常監視装置30のCPU3011は、制御装置20から実行状況信号が受信される都度、図4に示す受信処理プログラム3013Dbを実行する。まず、CPU3011は、制御装置20から受信された実行状況信号が何であるかを判断する(ステップS301)。
制御装置20から受信された実行状況信号が処理開始信号AONである場合、CPU3011は、AON対応処理を実行する(ステップS310)。このAON対応処理においてCPU3011は、計時指示フラグFCAを“1”とする。そして、CPU3011は、受信処理プログラム3013Dbを終了する。これにより、以後、計時用クロックφ2の生成により計時処理プログラム3013Daが実行された際には、ステップS201の判断結果が「YES」となり、制御プログラムA1の処理開始からの経過時間を示す計時値TCAを時間ΔTだけ増加させる処理(ステップS202)が実行される。
制御装置20から受信された実行状況信号が処理終了信号AOFFである場合、CPU3011は、AOFF対応処理を実行する(ステップS320)。このAOFF対応処理においてCPU3011は、まず、計時指示フラグFCAを“0”とする(ステップS321)。これにより、以後、計時用クロックφ2の生成により計時処理プログラム3013Daが実行された際には、ステップS201の判断結果が「NO」となり、制御プログラムA1の処理開始からの経過時間を示す計時値TCAを時間ΔTだけ増加させる処理(ステップS202)は実行されない。
次にCPU3011は、計時値TCAを制御プログラムA1の処理時間データとしてRAM3012に格納する(ステップS322)。次にCPU3011は、制御プログラムA1の処理時間データが許容範囲内か否かを判断する(ステップS323)。
さらに詳述すると、本実施形態では、図5に示すように、制御プログラムA1およびB1の各々について、最小処理時間と最大処理時間を示す情報がROM3013に記憶されている。ここで、最大処理時間は、様々な条件で制御装置20のCPU2011に制御プログラムA1(B1)を実行させた場合の処理時間の最大値に所定の余裕値を加算した値である。また、最小処理時間は、様々な条件で制御装置20のCPU2011に制御プログラムA1(B1)を実行させた場合の処理時間の最小値から所定の余裕値を減算した値である。CPU3011は、ステップS323において、制御プログラムA1の処理時間データが制御プログラムA1の最小処理時間以上であり、かつ、最大処理時間であるか否かを判断する。このステップS323の判断結果が「YES」である場合、CPU3011の処理はステップS325に進む。一方、ステップS323の判断結果が「NO」である場合、CPU3011は、制御装置20に異常通知信号を送信し(ステップS324)、ステップS325に進む。
次にステップS325に進むと、CPU3011は、制御プログラムA1の処理開始からの経過時間を示す計時値TCAを「0」に初期化する。そして、CPU3011は、受信処理プログラム3013Dbを終了する。
制御装置20から受信された実行状況信号が処理開始信号BONである場合、CPU3011は、BON対応処理を実行する(ステップS330)。このBON対応処理において、CPU3011は、計時指示フラグFCBを“1”とする。そして、CPU3011は、受信処理プログラム3013Dbを終了する。これにより、以後、計時用クロックφ2の生成により計時処理プログラム3013Daが実行された際には、ステップS203の判断結果が「YES」となり、制御プログラムB1の処理開始からの経過時間を示す計時値TCBを時間ΔTだけ増加させる処理(ステップS204)が実行される。
制御装置20から受信された実行状況信号が処理開始信号BOFFである場合、CPU3011は、BOFF対応処理を実行する(ステップS340)。そして、CPU3011は、受信処理プログラム3013Dbを終了する。
BOFF対応処理の内容は、AOFF対応処理と基本的に同様である。ただし、BOFF対応処理では、計時指示フラグFCBが“0”とされ、計時値TCBに基づいて、AOFF対応処理と同様な処理が行われる。
以上が受信処理プログラム3013Dbの処理内容である。
図6は、本実施形態による駆動制御システム1の動作例を示すタイムチャートである。この動作例では、前掲図15と同様な割込抜けによる動作異常が発生している。時刻tにおいて割込要求信号IRQAに応じて開始された制御プログラムA1の処理時間が長引き、時刻tの割込み要求信号IRQBに応じた制御プログラムB1の実行が省略されている。時刻tにおいて制御プログラムA1の実行が終了し、処理終了信号AOFFがCPU2011から出力されたとき、CPU3011では、これに応じて受信処理プログラム3013Dbが実行される。そして、この受信処理プログラム3013DbのステップS323において、時刻tの処理開始信号AONの発生から時刻tの処理終了信号AOFFの発生までの経過時間である制御プログラムA1の処理時間が最大処理時間よりも長いことが検知され、ステップS324において異常通知信号が制御装置20に送信されている。
このように本実施形態では、制御装置20のCPU2011が実行する複数種類の制御プログラムの各々の処理時間が異常監視装置30によって監視され、各制御プログラムの処理時間が許容範囲から外れたことが検知された場合に異常通知信号が制御装置20に送信される。そして、制御装置20では、制御対象装置40に対する制御信号の供給の停止等、制御の異常の影響を回避するための措置が行われる。従って、本実施形態によれば、制御装置20のCPU2011が実行する複数種類の制御プログラムのうちのある制御プログラムの処理時間が長引き、それに起因して割込抜けが発生したような場合に、その割込抜けの可能性を検知し、割込抜けに起因した制御の異常の影響が大きくなるのを食い止めることができる。
<第2実施形態>
本実施形態による駆動制御システムは、上記第1実施形態における駆動制御システム1と基本的に同じ構成を有しているが、次の点において上記第1実施形態と異なる。
まず、本実施形態において制御装置20が実行する複数種類の制御プログラムは、制御処理全体としての処理開始信号および処理終了信号の送信を行う他、制御処理全体を構成する複数の制御処理毎に処理開始信号および処理終了信号の送信を行うように構成されている。
図7は本実施形態において制御装置20のCPU2011が割込要求信号IRQAに応じて実行する制御プログラムA2の処理内容を示すフローチャートである。この制御プログラムA2の全制御処理は制御処理a(ステップS102a)、制御処理b(ステップS102b)および制御処理c(ステップS102c)により構成されている。
上記第1実施形態と同様、制御プログラムA2では、制御処理全体の処理開始タイミングにおいて処理開始信号AONを異常監視装置30に送信し(ステップS101)、制御処理全体の処理終了タイミングにおいて処理終了信号AOFFを異常監視装置30に送信する(ステップS103)。
これに加えて、本実施形態における制御プログラムA2では、制御処理aの開始時にその制御処理aの処理番号(制御処理aを特定する識別番号)を含む処理開始信号IPONを異常監視装置30に送信し、制御処理aの終了時に制御処理aの処理番号を含む処理終了信号IPOFFを異常監視装置30に送信する。他の制御処理bおよびcについても同様である。
図示は省略したが、CPU2011は、割込要求信号IRQBに応じて制御プログラムB2を実行する。この制御プログラムB2の内容も制御プログラムA2と同様である。この制御プログラムB2では、制御処理全体についての処理開始信号BON、処理終了信号BOFFの他、その制御処理全体を構成する複数の制御処理について、処理番号を含む処理開始信号IPONおよび処理終了信号IPOFFの送信を行う。
本実施形態における異常監視装置30は、実行状況信号として、処理開始信号AON、BON、処理終了信号AOFF、BOFFの他、処理番号を含む処理開始信号IPON、処理番号を含む処理終了信号IPOFFを制御装置20から受信する。
本実施形態における異常監視装置30は、これらの実行状況信号に基づいて、制御プログラムA2およびB2の各々についての処理時間を監視することに加え、各制御プログラムの内部的な各制御処理についても処理時間の監視を行う。また、本実施形態における異常監視装置30は、制御プログラムA2およびB2の各々の実行過程において、制御プログラムの制御処理全体を構成する複数の制御処理が如何なる順序で実行されるかについても監視する。
図8は本実施形態における異常監視装置30のCPU3011が計時用クロックに応じて実行する計時処理プログラムの処理内容を示すフローチャートである。この計時処理プログラムは、上記第1実施形態の計時処理プログラム(図3参照)に対し、ステップS202aおよびS204aの処理番号別計時の処理を追加した内容となっている。
この計時処理プログラムにおいて、制御プログラムA2の処理時間の計時を指示する計時指示フラグFCAが“1”である場合には、制御プログラムA2に対応した計時値TCAに計時用クロックφ2の周期に相当する時間ΔTが加算され(ステップS202)、その後、ステップ202aの処理番号別計時が実行される。この処理番号別計時では、例えば制御プログラムA2の処理番号1の制御処理aの処理時間の計時を指示するフラグがセットされている場合に、その制御処理aに対応付けられた計時値を時間ΔTだけ増加させる。
また、この計時処理プログラムにおいて、制御プログラムB2の処理時間の計時を指示する計時指示フラグFCBが“1”である場合には、制御プログラムB2に対応した計時値TCBに計時用クロックφ2の周期に相当する時間ΔTが加算され(ステップS204)、その後、ステップ204aの処理番号別計時が実行される。この処理番号別計時では、例えば制御プログラムB2の処理番号1の制御処理の処理時間の計時を指示するフラグがセットされている場合に、その制御処理に対応付けられた計時値を時間ΔTだけ増加させる。
他の処理内容は上記第1実施形態の計時処理プログラムと同様である。
図9は本実施形態における異常監視装置30のCPU3011が実行状況信号の受信に応じて実行する受信処理プログラムの処理内容を示すフローチャートである。異常監視装置30のCPU3011は、実行状況信号として、処理開始信号AON、BON、処理終了信号AOFF、BOFFの他、処理番号を含む処理開始信号IPON、処理番号を含む処理終了信号IPOFFを受信する。このため、図9では、上記第1実施形態(図4)におけるステップS301がステップS301aに置き換えられている。
ステップS310、S320、S330、S340は、上記第1実施形態(図4)と同様である。本実施形態では、ステップS350〜S352、S360〜S362の各処理が上記第1実施形態に対して加わっている。
制御装置20から受信された実行状況信号が処理番号を含んだ処理開始信号IPONであった場合、CPU3011の処理は、ステップS301aからステップS350に進み、このステップS350において、計時指示フラグFCAおよびFCBのいずれが“1”であるかを判断する(処理開始信号IPONが受信される以上、計時指示フラグFCAおよびFCBのいずれかが“1”になっているはずである。)。計時指示フラグFCAが“1”である場合、CPU3011は、ステップS351の処理番号別処理を実行して受信処理プログラムを終了する。
このステップS351の処理番号別処理においてCPU3011は次の各処理を実行する。
(1)まず、CPU3011は、受信した処理開始信号IPONから処理番号を取り出し、制御プログラムA2を構成する複数の制御処理の中の1つであって、当該処理番号により特定される制御処理の処理時間の計時を指示する計時指示フラグに“1”をセットする。これにより上述した計時処理プログラム(図8)が実行されたとき、ステップS202aの処理番号別計時では、制御プログラムA2を構成する複数の制御処理の中の1つであって、当該処理番号により特定される制御処理に対応した計時値を増加させる処理が行われる。
(2)次にCPU3011は、受信した処理開始信号IPONから取り出した処理番号をRAM3012に格納された制御プログラムA2用の処理番号シーケンスの末尾に追加する。なお、RAM3012に制御プログラムA2用の処理番号シーケンスが格納されていない場合には、受信した処理開始信号IPONから取り出した処理番号を処理番号シーケンスの先頭の処理番号としてRAM3012に格納する。
(3)次にCPU3011は、RAM3012内の制御プログラムA2用の処理番号シーケンスが正常であるか否かを判断する。さらに詳述すると、本実施形態では、制御装置20が正常に制御プログラムA2を実行している場合に発生し得る処理番号シーケンス(以下、便宜上、正常処理番号シーケンスという)が1種類または複数種類定義され、ROM3013に記憶されている。制御プログラムB2についても同様である。CPU3011は、RAM3012内の制御プログラムA2用の処理番号シーケンスがこの正常処理番号シーケンスのいずれかと一致するか否かを判断する。そして、RAM3012内の制御プログラムA2用の処理番号シーケンスがこの正常処理番号シーケンスのいずれとも一致する可能性がないと判断した場合、CPU3011は、異常通知信号を制御装置20に送信するのである。
以上がステップS351の処理番号別処理である。
制御装置20から受信された実行状況信号が処理番号を含んだ処理開始信号IPONであり、かつ、その時点において計時指示フラグFCBが“1”であった場合、CPU3011は、ステップS352の処理番号別処理を実行して受信処理プログラムを終了する。
上述したステップS351の処理番号別処理は、制御プログラムA2を対象としたが、このステップS352の処理番号別処理は制御プログラムB2を対象とする。この点を除けば、ステップS352の処理はステップS351の処理と基本的に同様である。
制御装置20から受信された実行状況信号が処理番号を含んだ処理終了信号IPOFFであり、かつ、その時点において計時指示フラグFCAが“1”であった場合、CPU3011は、ステップS361の処理番号別処理を実行して受信処理プログラムを終了する。
このステップS361の処理番号別処理においてCPU3011は次の各処理を実行する。
(1)まず、CPU3011は、受信した処理終了信号IPOFFから処理番号を取り出し、制御プログラムA2の全制御処理を構成する複数の制御処理の中の1つであって、当該処理番号により特定される制御処理の処理時間の計時を指示する計時指示フラグを“0”にリセットする。これにより、以後、上述した計時処理プログラム(図8)のステップS202aでは、当該処理番号により特定される制御処理についての処理時間の計時は行われない。
(2)次にCPU3011は、受信した処理終了信号IPOFFから取り出した処理番号により特定される制御処理の処理時間の計時値(すなわち、当該制御処理の処理時間)が許容範囲内であるか否かを判定する。
さらに詳述すると、本実施形態では、図10に示すように、制御プログラムA2を構成する各処理番号の制御処理について、最小処理時間と最大処理時間を示す情報がROM3013に記憶されている。図示は省略したが、制御プログラムB2を構成する各処理番号の制御処理についても同様である。ここで、最小処理時間と最大処理時間は、様々な条件で制御装置20のCPU2011に制御プログラムA2を実行させたときの処理時間の最小値と最大値を求め、最小値から所定の余裕値を減算し、最大値に所定の余裕値を加算することにより得られた値である。
CPU3011は、制御プログラムA2において処理終了信号IPOFFから取り出した処理番号により特定される制御処理の処理時間データが当該制御処理の最小処理時間以上であり、かつ、最大処理時間以下であるか否かを判断する。この判断結果が「NO」である場合、CPU3011は、制御装置20に異常通知信号を送信する。
(3)次にCPU3011は、受信した処理終了信号IPOFFから取り出した処理番号により特定される制御処理の処理時間の計時値を「0」に初期化する。
以上がステップS361の処理番号別処理である。
制御装置20から受信された実行状況信号が処理番号を含んだ処理終了信号IPOFFであり、かつ、その時点において計時指示フラグFCBが“1”であった場合、CPU3011は、ステップS362の処理番号別処理を実行して受信処理プログラムを終了する。
上述したステップS361の処理番号別処理は、制御プログラムA2を対象としたが、このステップS362の処理番号別処理は制御プログラムB2を対象とする。この点を除けば、ステップS362の処理はステップS361の処理と基本的に同様である。
以上が本実施形態における受信処理プログラムの処理内容である。
本実施形態によれば、上記第1実施形態と同様、制御プログラムA2およびB2の各々について処理時間の計時が行われ、処理時間が許容範囲から外れる場合に、異常通知信号が制御装置に供給される。従って、割込抜け等、制御装置による制御対象装置の制御の異常を検知し、制御の異常の影響が拡大するのを食い止めることができる。
また、本実施形態によれば、制御プログラムの制御処理全体を構成する複数の制御処理の各々について処理時間の計時が行われ、処理時間が許容範囲から外れる場合に、異常通知信号が制御装置に供給される。従って、本実施形態によれば、複数の内部的な制御処理のいずれかに異常が発生した場合にそれを検知し、制御対象装置が制御の異常の影響を受けるのを回避することができる。
また、制御プログラムの制御処理全体を構成する複数の制御処理の実行順序が正常であるか否かが監視される。図11(a)および(b)はその動作例を示すタイムチャートである。
図11(a)に示す動作例では、制御プログラムA2の処理開始を示す処理開始信号AONが受信された後、制御プログラムA2の処理番号1、2、3の各制御処理の処理開始を示す各処理開始信号が順次受信されている。この場合、処理番号シーケンスは1→2→3となり、これは正常処理番号シーケンスの1つであるので異常通知信号は出力されない。
これに対し、図11(b)に示す動作例では、制御プログラムA2の処理開始を示す処理開始信号AONが受信された後、制御プログラムA2の処理番号1、3の各制御処理の処理開始を示す各処理開始信号が順次受信されている。ここで、制御プログラムA2の正常処理番号シーケンスの中に1の後に3が続く処理番号シーケンスはない。そこで、異常監視装置30のCPU3011は、受信処理プログラム(図9)の処理番号別処理(ステップS351)において異常通知信号を制御装置20に送信する。従って、本実施形態によれば、複数の内部的な制御処理の実行順序の異常が発生した場合にそれを検知し、制御対象装置40が制御の異常の影響を受けるのを回避することができる。
<第3実施形態>
図12は、この発明の第3実施形態における駆動制御システムの構成を示すブロック図である。本実施形態と上記第1実施形態(図1)との違いは、異常監視装置30が、制御装置20ではなく、制御対象装置40に異常通知信号を供給する点である。上記第1実施形態では、異常通知信号を受け取った制御装置20が制御対象装置40への制御信号の供給を停止していた。これに対し、本実施形態では、異常監視装置30から異常通知信号を受け取った制御対象装置40が制御装置20からの制御信号の受信を停止する。
本実施形態によれば、制御装置20が制御信号の供給/供給停止の制御を行い得ないような重度の動作異常に陥っている場合においても、制御対象装置40に制御信号の受信を停止させるので、制御対象装置40が制御装置20の動作異常の影響を受けるのを回避することができる。また、本実施形態によれば、制御装置20が制御信号の供給/供給停止の制御を行わなくてよいので、制御装置20の処理負荷が低くなる利点がある。
<他の実施形態>
以上、この発明の第1〜第3実施形態について説明したが、この発明には他にも実施形態が考えられる。例えば次の通りである。
(1)上記第1実施形態において異常監視装置30は、処理開始信号AON(BON)の受信タイミングから処理終了信号AOFF(BOFF)の受信タイミングまでの経過時間を計時した。しかし、そのようにする代わりに、処理開始信号AON(BON)の受信タイミングから次の処理開始信号AON(BON)の受信タイミングまでの経過時間を計時してもよい。処理開始信号AON(BON)の受信タイミングから次の処理開始信号AON(BON)の受信タイミングまでの間に制御装置20において割込抜けが発生した場合、前者の受信タイミングから後者の受信タイミングまでの経過時間が割込要求信号IRQA(IRQB)の周期T(T)の2倍以上になる。従って、この計時を行うことにより制御装置20の動作異常(具体的には割込抜け)を検出することができる。
また、処理終了信号AOFF(BOFF)の受信タイミングから次の処理終了信号AOFF(BOFF)の受信タイミングまでの間に制御装置20において割込抜けが発生した場合にも、前者の受信タイミングから後者の受信タイミングまでの経過時間が長期化する。従って、処理終了信号AOFF(BOFF)の受信タイミングから次の処理終了信号AOFF(BOFF)の受信タイミングまでの経過時間を計時することにより制御装置20の動作の異常を検出してもよい。
(2)上記各実施形態では、制御装置20は制御対象装置40の駆動制御を行うために2種類の制御プログラムを実行した。しかし、制御装置20に実行させる制御プログラムは2種類に限定されるものではなく、3種類以上の制御プログラムを制御装置20に実行させてもよい。また、上記第2実施形態において、1つの制御プログラムの制御処理を何個の制御処理に分割するかは任意である。
(3)上記第2実施形態において、制御装置20のCPU2011は、制御プログラムの全制御処理を構成する複数の制御処理の各々について、その処理開始タイミングを示す処理開始信号IPONとその処理終了タイミングを示す処理終了信号IPOFFを異常監視装置30に送信した。しかし、制御プログラムを構成する複数の制御処理が時間を空けずに連続的に実行される場合、先行する制御処理の処理終了タイミングと後続の制御処理の処理開始タイミングはほぼ一致する。そこで、このような態様においては、CPU2011は、各制御処理について処理開始信号IPONの送信のみを行い、処理終了信号IPOFFの送信を省略してもよい。この場合、異常監視装置30では、ある制御処理について処理開始信号IPONを受信した後、後続の制御処理についての処理開始信号IPONしたとき、または制御プログラムの全制御処理についての処理終了信号AOFFまたはBOFFを受信したときに、当該制御処理の処理時間の計時を終了すればよい。
(4)上記第2実施形態において、異常監視装置30のCPU3011は、制御プログラムA2およびB2の各々について全ての制御処理の実行が終了したときに、処理番号シーケンスが正常であるか否かを判定してもよい。この態様は、処理番号シーケンスが正常であるか否かの判定処理が簡単なものとなり、CPU3011の負担が軽くなる利点がある。
(5)上記各実施形態において、制御装置20のCPU2011は、実行状況信号を送信することと並行し、CPU2011の内部状態の遷移を示す信号を異常監視装置30に送信し、異常監視装置30のCPU3011が制御装置20のCPU2011の内部状態の遷移が正常であるか否かを判定するようにしてもよい。この場合において、CPU3011は、制御装置20が実行する各制御プログラムや各制御処理の進捗状況や状態遷移に関する判定結果を例えばモニタなどの表示装置に表示し、ユーザが進捗状況や状態遷移の判定結果を把握できるようにしてもよい。
(6)上記第1実施形態において、異常監視装置30のCPU3011は、制御プログラムA1およびB1の各々について処理時間の計時を行い、各処理時間が許容範囲内に収まるか否かの監視を行った。しかし、そのようにする代わりに、制御プログラムA1(B1)の処理開始タイミングにおいて、制御プログラムA1(B1)の制御処理の終了期限を設定し、その終了期限までに制御処理が終了するか否かを監視するようにしてもよい。
(7)上記第2実施形態において、異常監視装置30のCPU3011は、制御プログラムA2(B2)の全制御処理を構成する複数の制御処理について処理時間の計時を行い、各処理時間が許容範囲内に収まるか否かの監視を行った。しかし、そのようにする代わりに、例えば制御プログラムA2の処理開始タイミングにおいて、制御プログラムA2の制御処理全体を構成する複数の制御処理a〜cの各々について終了期限を設定し、各終了期限までに制御処理a〜cが終了するか否かを監視するようにしてもよい。
(8)上記各実施形態において、異常監視装置30は、各制御プログラムの制御処理の処理時間を計時し、計時が終了した時点において処理時間を許容範囲と比較した。しかし、そのようにする代わりに、制御処理の処理時間の計時中に処理時間を許容範囲の上限である最大処理時間と比較し、処理時間が最大処理時間を越えた時点において異常通知信号を制御装置20に送信するようにしてもよい。この態様によれば、異常監視装置30は、処理時間が最大処理時間を越えて時点において迅速に異常通知信号を送信するので、制御の異常の影響が制御対象装置40に及ぶのを早期に食い止めることができる。
(9)上記第2実施形態において、制御プログラムA2(B2)の全制御処理を構成する複数の制御処理の各々について処理開始タイミングのジッタを異常監視装置30が計測するようにしてもよい。このジッタを計測する目的は次の通りである。まず、例えば割込要求信号IRQAに応じて制御プログラムA2が起動されると、常に処理番号1の制御処理に続いて処理番号2の制御処理が実行されるとする。この場合、処理番号1の制御処理の処理時間が不安定になると、処理番号2の制御処理の処理開始タイミングのジッタが大きくなる。そして、処理番号2の制御処理の処理開始タイミングのジッタが大きくなると、この処理番号2の制御処理に従って行われる制御対象装置40の制御が不安定になり、これに起因して駆動制御システム全体の動作が不安定になる可能性もある。また、処理番号1の制御処理の処理時間が不安定である場合、その処理番号1の制御処理に従って行われる制御対象装置40の制御が不安定である可能性もあり、これに起因して駆動制御システム全体の動作が不安定になる可能性もある。そこで、この態様では、このような制御の異常またはその予兆を検知するため、複数種類の制御処理の各々について処理開始タイミングのジッタを異常監視装置30が計測する。
ジッタの計測方法としては各種の方法が考えられるが、例えば次のようにしてもよい。まず、異常監視装置30は、制御プログラムA2(B2)の処理開始タイミングを示す処理開始信号AON(BON)を受信する都度、その処理開始信号AON(BON)の受信タイミングから処理番号n(n=1、2、…)の各制御処理の処理開始タイミングを示す処理開始信号IPONまでの各経過時間(以下、AON−IPON(またはBON−IPON)間経過時間という)を計測する処理を繰り返す。そして、異常監視装置30は、制御プログラムA2(B2)の処理開始タイミングを示す処理開始信号AON(BON)を受信する都度、処理番号毎に、それまでに得られた所定回数分のAON−IPON(またはBON−IPON)間経過時間の計測結果のばらつき(例えば標準偏差)を上記ジッタを示す情報として算出するのである。
あるいは次のような方法も考えられる。異常監視装置30は、処理番号毎に、その処理番号を含む処理開始信号IPONの受信タイミング間隔を繰り返し計時し、1つの受信タイミング間隔を計時する都度、それまでに得られた所定回数分の受信タイミング間隔のばらつき(例えば標準偏差)を上記ジッタを示す情報として算出するのである。
(10)上記第1および第2実施形態において、異常通知信号を受信した制御装置20は、所定時間を要して制御対象装置40を安全に停止させるための制御を行ってもよい。また、制御装置20に異常通知信号を送信した異常監視装置30は、上記所定時間よりも長い時間が経過したとき、制御対象装置40に異常通知信号を送信し、制御装置20からの制御信号の受信を停止させてもよい。この態様によれば、制御装置20の動作異常が軽度であり、制御対象装置40を安全に停止させる機能が損なわれていない場合には、この機能が正常に働いて、制御対象装置40を安全に停止させることができる。一方、制御装置20の動作異常が重度であり、制御対象装置40を安全に停止させる機能が損なわれている場合には、制御対象装置40は、異常監視装置30からの異常通知信号に応じて、制御装置20からの制御信号の受信を停止する。従って、制御装置20の動作異常が軽度であるか重度であるかにより適切な態様で制御対象装置40を停止させることができる。
(11)上記第1実施形態において、図3のステップS205およびS206の処理は、制御装置20のCPU2011の処理が無限ループに陥った場合にそれを検出して異常通知信号を送信するために設けられたものである。しかし、ステップS205において計時値TCA、TCBと比較する上限値を割込抜けの検出が可能な程度の小さな値にしてもよい。この場合、図4のステップS323およびS324の処理と、ステップS340内のステップS323およびS324に相当する処理を省略することができる。上記第2実施形態についても同様である。
(12)上記各実施形態では、制御装置から異常監視装置へ複数種類の実行状況信号が送信されるが、この実行状況信号の送信に関しても各種の態様が考えられる。ある態様では、制御装置および異常監視装置間に実行状況信号の種類毎に通信線が設けられる。ある種類の実行状況信号はその種類に対応した通信線を介して制御装置から異常監視装置に送信される。他の態様では、各実行状況信号は複数のビットにより構成される。そして、この複数ビットからなる実行状況信号が1本の通信線を介して制御装置から異常監視装置にシリアル転送される。他の態様では、複数ビットからなる実行状況信号がそれらのビットの組み合わせに対応した電圧値または電流値を有するアナログ信号に変換され、1本の通信線を介して制御装置から異常監視装置に送信される。そして、異常監視装置側でアナログ信号が複数ビットからなる実行状況信号に逆変換される。実行状況信号を伝送するためのRAMを設けてもよい。制御装置は、複数種類の実行状況信号をRAMに格納し、ある実行状況信号を変化させる場合には、それに合わせてRAM内の当該実行状況信号を書き換える。RAM内の実行状況信号が書き換えられると、異常監視装置では、割込要求信号が発生する。異常監視装置は、割込要求信号が発生すると、内容の書き換えられた実行状況信号をRAMから読み出す。
1,4……駆動制御システム、10,11……指令入力装置、20,21……制御装置、30,31……異常監視装置、40,41……制御対象装置、201……制御部、202,302……タイミング生成部、301……監視部、2011,3011……CPU、2012,3012……RAM、2013,3013……ROM。

Claims (20)

  1. 複数種類の周期的な割込要求信号に応じて制御対象装置を駆動制御するための複数種類の制御プログラムを各々実行し、前記割込要求信号に応じて前記制御プログラムを実行する都度、当該制御プログラムを特定する実行状況信号を出力する制御装置と、
    前記実行状況信号に基づいて、前記制御装置の動作の異常を検出する異常監視装置と
    を具備することを特徴とする駆動制御システム。
  2. 前記実行状況信号は、前記制御プログラムの処理開始タイミングを示す処理開始信号を含むことを特徴とする請求項1に記載の駆動制御システム。
  3. 前記実行状況信号は、前記制御プログラムの処理終了タイミングを示す処理終了信号を含むことを特徴とする請求項1に記載の駆動制御システム。
  4. 前記実行状況信号は、前記制御プログラムの処理開始タイミングを示す処理開始信号と前記制御プログラムの処理終了タイミングを示す処理終了信号とを含むことを特徴とする請求項1に記載の駆動制御システム。
  5. 前記異常監視装置は、前記実行状況信号に基づいて、前記複数種類の制御プログラムの各々についての処理時間の計時を行い、処理時間と許容範囲との比較により前記制御装置の動作の異常を検出することを特徴とする請求項1〜4のいずれか1の請求項に記載の駆動制御システム。
  6. 前記異常監視装置は、前記複数種類の制御プログラムの各々について、当該制御プログラムの処理終了タイミングにおける処理時間の計時結果と前記許容範囲との比較により前記制御装置の動作の異常を検出することを特徴とする請求項5に記載の駆動制御システム。
  7. 前記異常監視装置は、前記複数種類の制御プログラムのいずれかの処理時間が前記許容範囲の上限を越えた場合に前記制御装置の動作の異常が発生したと判定することを特徴とする請求項5に記載の駆動制御システム。
  8. 前記異常監視装置は、前記制御プログラムの全制御処理を構成する複数の制御処理の各々について処理時間の計時を行い、処理時間と許容範囲との比較により前記制御装置の動作の異常を検出することを特徴とする請求項1〜7のいずれか1の請求項に記載の駆動制御システム。
  9. 前記制御装置は、前記制御プログラムの全制御処理を構成する複数の制御処理の各々の処理開始タイミングを示す処理開始信号を前記異常監視装置に送信し、
    前記異常監視装置は、前記複数の制御処理についての処理開始信号の受信タイミングに基づいて、前記複数の制御処理の各々についての処理時間の計時を行うことを特徴とする請求項8に記載の駆動制御システム。
  10. 前記制御装置は、前記制御プログラムの全制御処理を構成する複数の制御処理の各々の処理開始タイミングを示す処理開始信号と各々の処理終了タイミングを示す処理終了信号を出力し、
    前記異常監視装置は、前記複数の制御処理についての処理開始信号および処理終了信号の各受信タイミング間の時間を前記複数の制御処理の処理時間として計時することを特徴とする請求項8に記載の駆動制御システム。
  11. 前記異常監視装置は、前記制御プログラムの全制御処理を構成する複数の制御処理の処理順序に基づいて、前記制御装置の動作の異常を検出することを特徴とする請求項1〜10のいずれか1の請求項に記載の駆動制御システム。
  12. 前記異常監視装置は、前記制御プログラムの全制御処理を構成する複数の制御処理の処理開始タイミングのジッタに基づいて、前記制御装置の動作の異常を検出することを特徴とする請求項1〜11のいずれか1の請求項に記載の駆動制御システム。
  13. 前記異常監視装置は、前記制御装置の動作の異常を検出した場合に前記制御装置に異常通知信号を送信することを特徴とする請求項1〜12のいずれか1の請求項に記載の駆動制御システム。
  14. 前記異常監視装置は、前記制御装置の動作の異常を検出した場合に前記制御対象装置に異常通知信号を送信することを特徴とする請求項1〜12のいずれか1の請求項に記載の駆動制御システム。
  15. 前記異常監視装置は、前記制御装置の動作の異常を検出した場合に前記制御装置および前記制御対象装置に異常通知信号を送信することを特徴とする請求項1〜12のいずれか1の請求項に記載の駆動制御システム。
  16. 複数種類の周期的な割込要求信号に応じて制御対象装置を駆動制御するための複数種類の制御プログラムを各々実行し、前記割込要求信号に応じて前記制御プログラムを実行する都度、当該制御プログラムを特定する実行状況信号を出力する制御装置から前記実行状況信号を受信し、前記実行状況信号に基づいて、前記制御装置の動作の異常を検出する異常監視手段を具備することを特徴とする異常監視装置。
  17. 前記異常監視手段は、前記実行状況信号に基づいて、前記複数種類の制御プログラムの各々についての処理時間の計時を行い、処理時間と許容範囲との比較により前記制御装置の動作の異常を検出することを特徴とする請求項16に記載の異常監視装置。
  18. 前記異常監視手段は、前記制御プログラムの全制御処理を構成する複数の制御処理の各々について処理時間の計時を行い、処理時間と許容範囲との比較により前記制御装置の動作の異常を検出することを特徴とする請求項16または17に記載の駆動制御システム。
  19. 前記異常監視手段は、前記制御プログラムの全制御処理を構成する複数の制御処理の処理順序に基づいて、前記制御装置の動作の異常を検出することを特徴とする請求項16〜18のいずれか1の請求項に記載の異常監視装置。
  20. 前記異常監視手段は、前記制御プログラムの制御処理を分割した複数の制御処理の処理開始タイミングのジッタに基づいて、前記制御装置の動作の異常を検出することを特徴とする請求項16〜19のいずれか1の請求項に記載の異常監視装置。
JP2015160224A 2015-08-14 2015-08-14 駆動制御システムおよび異常監視装置 Withdrawn JP2017037606A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015160224A JP2017037606A (ja) 2015-08-14 2015-08-14 駆動制御システムおよび異常監視装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015160224A JP2017037606A (ja) 2015-08-14 2015-08-14 駆動制御システムおよび異常監視装置

Publications (1)

Publication Number Publication Date
JP2017037606A true JP2017037606A (ja) 2017-02-16

Family

ID=58049384

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015160224A Withdrawn JP2017037606A (ja) 2015-08-14 2015-08-14 駆動制御システムおよび異常監視装置

Country Status (1)

Country Link
JP (1) JP2017037606A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7433173B2 (ja) 2020-09-11 2024-02-19 三菱電機株式会社 監視制御システム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61216049A (ja) * 1985-03-22 1986-09-25 Hitachi Ltd システム監視方式
JPH09167107A (ja) * 1995-12-14 1997-06-24 Sumitomo Electric Ind Ltd マイクロコンピュータの異常監視装置
JP2012058782A (ja) * 2010-09-03 2012-03-22 Hagiwara Electric Co Ltd コンピュータ装置の異常検査方法及びそれを用いたコンピュータ装置
JP2012137920A (ja) * 2010-12-27 2012-07-19 Toyota Motor Corp 電子制御装置、起動制御方法
JP2013127674A (ja) * 2011-12-16 2013-06-27 Auto Network Gijutsu Kenkyusho:Kk 制御装置及び処理監視方法
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61216049A (ja) * 1985-03-22 1986-09-25 Hitachi Ltd システム監視方式
JPH09167107A (ja) * 1995-12-14 1997-06-24 Sumitomo Electric Ind Ltd マイクロコンピュータの異常監視装置
JP2012058782A (ja) * 2010-09-03 2012-03-22 Hagiwara Electric Co Ltd コンピュータ装置の異常検査方法及びそれを用いたコンピュータ装置
JP2012137920A (ja) * 2010-12-27 2012-07-19 Toyota Motor Corp 電子制御装置、起動制御方法
JP2013127674A (ja) * 2011-12-16 2013-06-27 Auto Network Gijutsu Kenkyusho:Kk 制御装置及び処理監視方法
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7433173B2 (ja) 2020-09-11 2024-02-19 三菱電機株式会社 監視制御システム

Similar Documents

Publication Publication Date Title
JP6152920B2 (ja) プログラマブルコントローラシステム、そのコントローラ
WO2016170840A1 (ja) 駆動制御装置
US10156837B2 (en) Control systems for setting sampling timing
EP3076297A2 (en) Controller
JP2010182101A (ja) フィールド制御システム
US20140229956A1 (en) Method and System for Deterministic Multicore Execution
JP2020061055A (ja) 制御システム、制御装置および制御方法
JP2017037606A (ja) 駆動制御システムおよび異常監視装置
JP5960632B2 (ja) 車両用電子制御装置
JP4757237B2 (ja) 時間監視装置、方法、およびプログラム
JP6322122B2 (ja) 中央監視制御システム、サーバ装置、検出情報作成方法、及び、検出情報作成プログラム
US20200100001A1 (en) Wireless communication device, control program and control method
JP4853390B2 (ja) 計測装置
JP2010204916A (ja) 試験システム及び試験方法
JP6338923B2 (ja) プログラマブルコントローラ及び制御プログラム
JP5181762B2 (ja) 分散処理を実行する演算装置とサーバおよび分散処理方法
JP2012196071A (ja) 電力変換器
KR20190105356A (ko) Plc 시스템
JP5962860B2 (ja) 監視方法、およびコンピュータ装置
JP2014157386A (ja) データ処理システム
JP2015219896A (ja) 複数の演算サーバを備えるクラウド制御システム、その制御プログラムのスケジューリング方法、及び演算サーバの冗長化方法
JPWO2018229968A1 (ja) コントローラシステム
JP2005107757A (ja) プログラムの暴走検出方法およびプログラムの暴走検出装置
JP4832206B2 (ja) 表示装置、表示装置の表示方法、及びプログラム
JP2020112918A (ja) 制御装置におけるソフトウェア実行負荷率測定方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190423

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20190805